CB Defenseの特長的な防御機能として、Carbon Black社の特許技術「ストリーミングプリベンション」があります。ストリーミングプリベンションは、一般的にクレジットカードの不正使用の防止に利用される異常状態検知技術を、コンピューターのセキュリティ製品に応用した技術となります。
Carbon Black社では、コンピューターへの攻撃者が利用する攻撃手法を長年にわたって収集・分析し、戦術(Tactics)、手法(Technique)、手順(Procedures)という形態で、約120種類の「TTP」に分類しました。
各端末に導入されたCB Defenseのセンサー(エージェント)によって収集されたTTPを含むイベント情報は、CB Defenseクラウドにアップロードされ、クラウド上でのTTPの脅威分析によって端末への攻撃を検知します。
TTPの脅威分析を利用したストリーミングプリベンションの特長は、1プログラムの動作や振る舞いだけで検知/判定するものではなく、複数のプログラムにまたがって実施される攻撃などの検知も可能とします。そのため端末上の既存ツールを活用したファイルレス攻撃や、未知のマルウェアによる攻撃、さらに端末の脆弱性を突いた侵入や攻撃なども検知を可能とします。
ストリーミングプリベンションがどのように動作するのかを動画で説明しておりますので、ぜひこちらもご覧になってください。この動画では、子供がクレヨンを手に入れたところでは別に脅威にはなりませんが、机に置いてある紙を無視して通り過ぎた時点で、「もしかしたら違うところに落書きする可能性があるのかもしれない」と予測して、脅威レベルを一段と格上げしています。さらに、白い壁の前に立ってクレヨンを握った手を挙げた途端に「壁に落書きをするつもりだ!」と検知し、脅威レベルをさらに引き上げることで落書きする前に被害を未然に止めたという例になります。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら